EL CASO RUTIFY Y LA NUEVA GEOGRAFÍA DEL RIESGO VITAL

En 2025, Chile registró 8,8 billones de intentos de ciberataque, según el Reporte sobre el Panorama de Amenazas 2026 de Fortinet. La cifra del año anterior fue de 27.600 millones. No es un crecimiento, es un cambio de escala.

Pero el dato no es lo más relevante de lo que ocurrió el fin de semana del 1 al 3 de mayo. Lo verdaderamente significativo del llamado "caso Rutify" no fue el volumen del incidente, ni siquiera su contenido. Fue dónde se detectó: en canales de Telegram y foros de la dark web, monitoreados por terceros, mientras las instituciones afectadas se enteraban por terceros y el país lo discutía en titulares.

Cuando la directora subrogante de la ANCI, Michelle Bordachar, declaró que "no hay infraestructuras comprometidas", técnicamente tenía razón. Y precisamente ahí está el problema: el daño ya no requiere comprometer infraestructura. Requiere correlacionar datos antiguos, robar una credencial válida, y publicar.

El CISO chileno que en 2026 sigue evaluando su madurez en términos de firewalls, EDR y parches, está respondiendo las preguntas equivocadas. Hay tres nuevas preguntas que importan, y ninguna se responde mirando hacia adentro.

Pregunta 1: ¿Sé qué estoy exponiendo realmente?

Esta es la pregunta de CTEM (Continuous Threat Exposure Management).

La gestión de vulnerabilidades clásica funciona así: se escanea, se prioriza por CVSS, se parcha, se reporta. El ciclo es trimestral, en el mejor caso mensual. En 2026 ese ciclo es geológico.

CTEM cambia el marco. La pregunta deja de ser "¿qué vulnerabilidades tengo?" y pasa a ser "¿qué de lo que tengo expuesto puede ser realmente explotado, por qué actor, y con qué impacto?". Es un proceso continuo, no un evento. Las cinco etapas que define Gartner —scoping, discovery, prioritization, validation, mobilization— no son una metodología más: son la diferencia entre saber que el CVE-2024-XXXX existe en tu inventario, y saber que ese CVE está siendo explotado activamente contra tu sector, en un servidor que olvidaste apagar el año pasado.

El caso Rutify lo muestra con incomodidad. Cuando el actor publicó la lista de presuntas víctimas —TGR, EFE, Servel, SAG, Registro Civil, telcos, Pullman Bus— ninguna de esas instituciones podía responder "no, eso es imposible" en menos de 48 horas. Tuvieron que verificar. Y verificar contrarreloj, ante la prensa, no es CTEM: es gestión de crisis.

La Ley 21.663 ya exige a operadores de servicios esenciales mantener gestión continua de riesgos. CTEM no es una buena práctica opcional: es la traducción operativa de esa obligación legal.

Pregunta 2: ¿Sé qué saben de mí afuera?

Esta es la pregunta de CTI (Cyber Threat Intelligence).

Y es probablemente la más mal entendida de las tres. CTI no es suscribirse a un feed de IoCs. Es una capacidad de inteligencia que opera en tres niveles: estratégico (qué actores apuntan a mi industria y por qué), táctico (qué TTPs están usando ahora mismo) y operacional (qué credenciales, qué dominios, qué accesos de mi organización están circulando en este momento en la dark web, en pastes, en foros y en canales de Telegram).

Vale detenerse aquí, porque es exactamente lo que ocurrió con Rutify. La ANCI detectó la "actividad maliciosa" porque tiene capacidad de monitoreo en esos espacios. La detección fue posible porque alguien estaba mirando el lugar correcto. La pregunta incómoda para el sector privado chileno es: si el Estado tuvo que enterarse así, ¿quién está monitoreando lo que se publica de tu empresa?

ANCI también confirmó que sí hubo un caso real: a un funcionario público le robaron credenciales y un atacante ingresó haciéndose pasar por él. Esa credencial, casi con certeza, estuvo expuesta antes de ser usada. Una capacidad de CTI operacional bien implementada cierra esa ventana: detecta la credencial filtrada, la rota antes de que el atacante intente usarla, y convierte un incidente en un no-evento.

Hay un detalle final que importa. Cuando ANCI minimizó públicamente el caso, los atacantes reaccionaron publicando datos de salud como represalia. Entender al actor —su motivación, su patrón, su sensibilidad al reconocimiento— habría cambiado la estrategia de comunicación. Eso también es CTI.

Pregunta 3: ¿Sé quién se hace pasar por mí?

Esta es la pregunta de gestión de identidad digital y suplantación de marca, donde DMARC y la vigilancia de dominios son la base.

Más del 70% de los ataques exitosos empiezan por correo electrónico. Y de esos, una fracción enorme usa dominios suplantados, ya sea mediante spoofing directo del dominio legítimo (cuando el dueño no tiene política DMARC en p=reject) o mediante dominios look-alike: typosquatting, homoglyphs, TLDs alternativos. Una variante como c0mpunet.cl o compumetgroup.cl es trivial de registrar y suficiente para engañar a un cliente apurado o a un proveedor distraído.

Sin un sistema de administración de reportes RUA de DMARC, una organización está literalmente ciega frente al uso que se hace de su dominio. No sabe quién envía correos firmados con su nombre. No sabe si sus campañas legítimas están fallando autenticación. No sabe si un atacante está abusando de su marca contra sus clientes.

El caso Rutify ilustra el segundo movimiento de esta cadena. El propio sitio "rutify" se presenta como un agregador de información pública chilena. No es un dominio de phishing en sí: es algo más sutil, una infraestructura aparentemente neutral que normaliza el acceso a datos sensibles y se convierte en materia prima para ataques posteriores. Lo que viene después de filtraciones masivas es predecible: campañas de phishing dirigidas usando esos datos, enviadas desde dominios que imitan a las instituciones afectadas, contra personas confundidas que ya no saben qué correo es legítimo y cuál no.

Si tus clientes reciben mañana un correo desde tesoreria-cl.com o registr0civil.cl, ¿quién lo va a saber primero: tú o ellos?

Las tres preguntas son una sola cadena

El error más común es tratar CTEM, CTI y la protección contra suplantación como tres iniciativas separadas, con tres presupuestos, tres responsables y tres roadmaps.

No lo son. Una credencial filtrada que aparece en un foro (CTI) abre un activo expuesto que nadie estaba monitoreando (CTEM), y los datos extraídos alimentan una campaña de phishing lanzada desde un dominio look-alike contra los clientes de la víctima (suplantación). Es una sola cadena de ataque, ejecutada por actores que la entienden mejor que la mayoría de los defensores.

El caso Rutify mostró los tres eslabones operando en simultáneo. La pregunta para 2026 no es si tu organización tiene firewall, EDR y antivirus. Es si tienes visibilidad fuera del perímetro, antes del incidente, en los lugares donde el ataque empieza meses antes de tocar tu red.

En CompuNet creemos que estas tres preguntas se responden juntas

Por eso construimos un portafolio integrado para responderlas:

• Servicio de CTEM, basado en una arquitectura híbrida con Wazuh para inventario continuo y correlación de CVEs, más una capa propietaria de orquestación de parches y scoring de exposición
• Servicio de CTI, con monitoreo de dark web, foros, canales de Telegram y feeds especializados, integrado a nuestro pipeline de boletines y alertas operacionales.
• SpoofGuard, nuestra plataforma multi-tenant de administración de reportes DMARC RUA y monitoreo de dominios look-alike, diseñada para detectar typosquatting y abuso de marca antes de que se convierta en una campaña activa.

Si quieres saber qué exposición tiene hoy tu organización en los tres frentes, agenda una evaluación inicial sin costo con nuestro equipo. En 60 minutos te mostramos qué se está diciendo de tu marca en la dark web, qué dominios sospechosamente parecidos a los tuyos están registrados, y qué activos críticos tuyos están más expuestos de lo que crees.